一.ACL概述
1.介绍
ACL 访问控制列表,可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。
2.概述
ACL是由一系列permit或deny语句组成的、有序规则的列表。
ACL是一个匹配工具,能够对报文进行匹配和区分。
3.应用
①应用在接口的ACL-----过滤数据包(五元组:源IP地址、目的IP地址、协议号、源端口、目的端口 )
②应用在路由协议-------匹配相应的路由条目
③NAT、IPSEC VPN、QOS-----匹配感兴趣的数据流
二.ACL基本概念及其工作原理
1.ACL工作原理
当数据包从接口经过时,由于接口启用了acl, 此时路由器会对报文进行检查,然后做出相应的处理。
2.ACL种类
3.ACL组成
4.ACL的应用原则
基本ACL,尽量用在靠近目的点
高级ACL,尽量在靠近源的地方(可以保护带宽和其它资源)
5.通配符
通配符是一个32比特长度的数值,用于指示IP地址中,哪些比特位需要严格匹配,哪些比特位无需匹配。
通配符通常采用类似网络掩码的点分十进制形式表示,但是含义却与网络掩码完全不同。
区别:
子网掩码 1111 0主机 配置ip地址的时候用 连续1 来表示网络位
反掩码 0000 1主机 路由协议(ospf协议) 连续0来表示网络位
通配符掩码 可以0 1穿插 0不可变 1可变
三.配置
1.利用ip地址+通配符匹配流量
[R1]acl 2000 ###创建ACL
[R1-ACL-BASIC-2000]rule permit source 192.168.1.0 0.0.0.255
中文: 规则 允许 源头 (要通过的IP地址和通配符,注:如果要允许所有通过IP为:0.0.0.0)
###允许192.168.1.0网段通过(将permit换成deny则是拒绝)
2.入站(Inbound)及出站(Outbound)方向
